版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、ccie r&s v4.0 理論ipsec vpn 目錄隧道技術(shù)舉例手動(dòng)點(diǎn)對(duì)點(diǎn)greipsecvpn分類ipsec特征加密術(shù)語(yǔ)加密算法數(shù)字簽名ipsec安全協(xié)議驗(yàn)證報(bào)頭(ah)封裝安全有效負(fù)載(esp)密鑰管理和安全關(guān)聯(lián)ipsec分組的處理配置步驟總結(jié)各類ipsec范疇vpn普通lan_to_lan vpndynamic lan_to_lan vpndynamic multipoint vpn (dmvpn)easy vpn (ezvpn) 又名遠(yuǎn)程vpn或接入vpnssl vpn隧道技術(shù)圖1:如上圖所示,在普通情況下,穿越了公網(wǎng)的兩個(gè)lan的pc,是無(wú)法直接通過(guò)輸入對(duì)方lan的內(nèi)網(wǎng)ip地址進(jìn)
2、行訪問(wèn)的,無(wú)法解決公司的某些辦公問(wèn)題和數(shù)據(jù)訪問(wèn)問(wèn)題。圖2:如上圖所示,如果兩個(gè)lan的路由器是直接相連,那么任何pc都可以直接輸入對(duì)方lan的內(nèi)網(wǎng)ip地址進(jìn)行訪問(wèn),解決公司的辦公和數(shù)據(jù)訪問(wèn)等任何問(wèn)題。但是lan和lan之間,有時(shí)因?yàn)榫嚯x問(wèn)題或成本問(wèn)題,無(wú)法做到直接相連路由器,必須得穿越公網(wǎng),這樣就無(wú)法解決上述的訪問(wèn)需求,要解決此類問(wèn)題,可通過(guò)隧道技術(shù),對(duì)ip包頭重新封裝,保留內(nèi)網(wǎng)地址同時(shí)對(duì)isp隱藏,待穿越了isp之后,到達(dá)目標(biāo)lan路由器,再還原ip包頭,此時(shí)再查看最初的目的ip(即內(nèi)網(wǎng)ip)。如下圖: 返回目錄舉例 返回目錄手動(dòng)點(diǎn)對(duì)點(diǎn)gre通過(guò)手動(dòng)tunnel來(lái)解決遠(yuǎn)程lan之間使用內(nèi)網(wǎng)地
3、址互訪: 返回目錄ipsec在穿越了公網(wǎng)的lan需要直接使用內(nèi)網(wǎng)地址訪問(wèn)對(duì)端pc時(shí),可通過(guò)隧道技術(shù)來(lái)解決,而且隧道技術(shù)是當(dāng)前解決此問(wèn)題的唯一方法,隧道技術(shù)可在osi二層的三層實(shí)施,隧道技術(shù),正是vpn技術(shù)。然而,由于lan與lan之間傳輸?shù)臄?shù)據(jù)帶有私密性,有時(shí)必須考慮到數(shù)據(jù)的安全性,需要對(duì)數(shù)據(jù)進(jìn)行加密后再傳輸。所以在隧道技術(shù)vpn的環(huán)境下,最好能夠在隧道中集成加密技術(shù)。而ipsec,正是在這種需求下誕生的,ipsec就同時(shí)集成了隧道技術(shù)和加密技術(shù),稱為ipsec vpn,而ipsec,是定義隧道如何實(shí)現(xiàn),加密如何實(shí)施,是一系列框架的總結(jié),ipsec并非一個(gè)單純的協(xié)議。 返回目錄vpn分類二層v
4、pn遞送報(bào)頭在二層,如:atm,幀中繼三層vpn遞送報(bào)頭在三層,如:gre,mpls,ipsecgre(通用路由選擇封裝)由cisco開(kāi)發(fā),并被標(biāo)準(zhǔn)化,但沒(méi)有安全機(jī)制。mpls vpn,也是cisco倡導(dǎo)的,也被ietf標(biāo)準(zhǔn)化。ipsec vpn用戶關(guān)心數(shù)據(jù)安全性,ipsec是ietf開(kāi)發(fā)的一組協(xié)議,支持身份驗(yàn)證,完整性,訪問(wèn)控制和機(jī)密性。在普通情況下,兩個(gè)lan之間建立隧道的vpn,稱為lan_to_lan vpn,vpn另一方預(yù)先不知道的,可使用遠(yuǎn)程接入vpn,稱為easy vpn (ezvpn)。 返回目錄ipsec特征安全協(xié)議:驗(yàn)證報(bào)頭(ah),封裝安全有效負(fù)載(esp)密鑰管理:is
5、akmp , ike , skeme算法:用于加密和身份驗(yàn)證 返回目錄加密以往的字母替換法。 返回目錄術(shù)語(yǔ) 返回目錄加密算法加密和解密的數(shù)學(xué)函數(shù),數(shù)據(jù)安全是建立在密鑰基礎(chǔ)上的,知道算法沒(méi)關(guān)系,沒(méi)有密鑰沒(méi)用。加密算法分:對(duì)稱加密算法和非對(duì)稱加密算法。對(duì)稱加密算法:發(fā)送方和接收方使用相同的密鑰,使用什么加密,就使用什么解密,所以要有好的方法分發(fā)密鑰,要不然被截取,依然不安全,常見(jiàn)算法有:des,3des,aes.des 56位,不推薦,24小時(shí)內(nèi)可枚舉破解。非對(duì)稱加密算法:也叫公鑰算法,用兩個(gè)密鑰,加密的叫公鑰,可以公開(kāi),解密的是私鑰,在數(shù)學(xué)上是相關(guān)的,但無(wú)法推導(dǎo)。任何有公鑰的人都可以加密,但只有
6、有私鑰的人才能解密,而私鑰只有接受方才知道,可以不傳出去。公鑰算法沒(méi)有完全取代對(duì)稱算法,只是用作他們的密鑰分發(fā),因?yàn)樽约郝圆粫?huì)取代對(duì)稱加密,只是他們的補(bǔ)充。 返回目錄數(shù)字簽名公鑰加密可以用來(lái)驗(yàn)證消息,叫做數(shù)字簽名,有不可抵賴性,思想是將變長(zhǎng)的消息轉(zhuǎn)換成定長(zhǎng)的壓縮輸出-消息摘要,根據(jù)消息摘要無(wú)法重建原始消息。過(guò)程:要發(fā)文件給對(duì)方,先計(jì)算一個(gè)摘要,然后公鑰對(duì)摘要進(jìn)行加密變成數(shù)字簽名,將文件和簽名一起發(fā)過(guò)去,如果對(duì)方根據(jù)文件計(jì)算出的摘要與原有不符,便認(rèn)為被改過(guò).對(duì)消息摘要進(jìn)行加密,稱為加密的消息摘要,或叫消息驗(yàn)證碼(hmac) (hash) 返回目錄ipsec安全協(xié)議ipsec提供訪問(wèn)控制,數(shù)
7、據(jù)完整性,身份驗(yàn)證,防止重放和數(shù)據(jù)機(jī)密性。安全協(xié)議有:驗(yàn)證報(bào)頭(ah),封裝安全有效負(fù)載(esp),為ip數(shù)據(jù)提供安全。有兩種模式,傳輸模式和隧道模式。傳輸模式:在ip報(bào)頭和高層協(xié)議報(bào)頭之間插入一個(gè)ipsec報(bào)頭(ah或esp),ipsec報(bào)頭和數(shù)據(jù)都有加密驗(yàn)證,認(rèn)為目的地是可達(dá)的,所以源不會(huì)修改目標(biāo)ip地址,只能用于ip端點(diǎn)和ipsec端點(diǎn)相同的情形。(比如就是兩個(gè)點(diǎn)之間直接給自己使用vpn,而不是給別人使用)所以傳輸模式不能進(jìn)行nat轉(zhuǎn)換。隧道模式:保留原始ip報(bào)頭,寫(xiě)入新報(bào)頭,并加密其它。 返回目錄驗(yàn)證報(bào)頭(ah)提供數(shù)據(jù)完整性,身份驗(yàn)證,防止重放,但沒(méi)有機(jī)密性。它是一種ip協(xié)議,位置同
8、esp。 返回目錄封裝安全有效負(fù)載(esp)提供數(shù)據(jù)完整性,身份驗(yàn)證,防止重放和數(shù)據(jù)機(jī)密性,將原始的加密后封裝在報(bào)頭和報(bào)尾,保護(hù)ip分組。 返回目錄密鑰管理和安全關(guān)聯(lián)加密算法用的最多的是des和3des,所以要解決分發(fā)問(wèn)題。生成,分發(fā)和存儲(chǔ)統(tǒng)稱為密鑰管理, 下面internet密鑰交換(ike)協(xié)議就是協(xié)商密鑰的。sa(安全關(guān)聯(lián))(ike)isakmp在ios上配置ike:crypto isakmp policy 10encr 3deshash md5 authentication pre-sharegroup 2 加密算法包括:des,3des,aes驗(yàn)證方法有4種:預(yù)共享密鑰(最多),數(shù)字
9、簽名(最多),2次公鑰加密和4次公鑰加密。預(yù)共享密鑰必須雙方一致,數(shù)字簽名驗(yàn)證時(shí),ios只支持rsa,要用證書(shū)。 返回目錄ipsec分組的處理安全策略數(shù)據(jù)庫(kù)(spd)安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(sadb)安全策略數(shù)據(jù)庫(kù)(spd)決定了如何處理對(duì)等體之間的ip數(shù)據(jù)流安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(sadb)包含每個(gè)活動(dòng)安全關(guān)聯(lián)參數(shù)安全策略數(shù)據(jù)庫(kù)(spd)包含:目標(biāo)ip,源ip,名稱,數(shù)據(jù)敏感性等級(jí),傳輸層協(xié)議,源和目標(biāo)端口。安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(sadb),每個(gè)條目都宣言了一個(gè)sa,有關(guān)以下參數(shù):序列號(hào),序列號(hào)溢出,反重放窗口,sa壽命,模式:傳輸還是隧道ah驗(yàn)證算法:md5還是shaesp驗(yàn)證算法:md5還是shaesp加密算
10、法:des,3des查看sa:sh cry ipsec sa配置加密算法和封裝方法(還可定義模式):crypto ipsec transform-set xxx esp-3des esp-sha-hmac使用安全協(xié)議esp,用3des來(lái)加密,用sha-hmac來(lái)確保數(shù)據(jù)完整性,使用隧道模式來(lái)封裝(默認(rèn)),查看使用:sh cry ipsec transform-set看ike協(xié)商sh cry isakmp policy配置:authentication pre-sharegroup 2 (默認(rèn)組1,就是ike相關(guān)算法) 配置密鑰:crypto isakmp key cisco123 addres
11、s 查看:sh cry isakmp sa 返回目錄配置步驟總結(jié)一:isakmp sa步驟:1定義ike(internet密鑰交換),即isakmp2配置密鑰3配置加密和封裝二:ipsec sa步驟:1創(chuàng)建鄰居2調(diào)用isakmp的加密和封裝3定義要穿越vpn的流量三:應(yīng)用ipsec sa到接口 返回目錄各類ipsec范疇vpn 返回目錄1 普通lan_to_lan vpn此類vpn,即兩個(gè)穿越了isp的lan之間建立vpn連接,為其內(nèi)網(wǎng)pc與遠(yuǎn)程lan的pc直接通過(guò)內(nèi)網(wǎng)ip進(jìn)行互訪。配置:一:isakmp sa步驟:1定義ike(internet密鑰交換),即isakmprou
12、ter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exit2配置密鑰router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封裝router(config)#crypto
13、ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二:ipsec sa步驟:router(config)#access-list 100 permit ip 55 55router(config)#crypto map vpn 1 ipsec-isakmp 1創(chuàng)建鄰居router(config-crypto-map)#set peer 2調(diào)用isakmp的加密和封裝router(config-crypto-ma
14、p)#set transform-set abc3定義要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三:應(yīng)用ipsec sa到接口router(config)#int f0/0router(config-if)#crypto map vpnrouter(config-if)#exit 返回目錄2dynamic lan_to_lan vpn 此類vpn,用于當(dāng)需要建立vpn的lan多于兩個(gè),需要在多個(gè)場(chǎng)點(diǎn)之間建立連接,可能有的場(chǎng)點(diǎn)ip地址不固定,使用了dhcp服務(wù)。那么,在多個(gè)lan
15、之間建立lan_to_lan vpn時(shí),其中一方必須固定ip地址,但其它均可浮動(dòng)ip地址,只要保證兩點(diǎn)之間,一方能夠找到另一方即可。之前普通lan_to_lan vpn的某些規(guī)則在此便不適用,因?yàn)閷?duì)端lan是浮動(dòng)ip時(shí),本端無(wú)法為明確的對(duì)端配置預(yù)共享密鑰,只能對(duì)任意ip配置。此類vpn,需要調(diào)用一個(gè)組的概念,而密鑰和對(duì)端的ip均是在組下完成。并且將該組與加密和封裝做好動(dòng)態(tài)組映射,集成到ipsec sa中,最后應(yīng)用到接口下:hub端:配置:hub端(固定的ip地址):一:isakmp sa步驟:1定義ike(internet密鑰交換),即isakmprouter(config)#c
16、rypto isakmp policy 10router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exi2配置密鑰router(config)#crypto keyring spokesrouter(conf-keyring)#pre-shared-key address key 0 c
17、isco123router(conf-keyring)#exi3配置加密和封裝router(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac router(cfg-crypto-trans)#exidynamic部分1.將鄰居和密鑰映射成動(dòng)態(tài)框架router(config)#crypto isakmp profile l2lrouter(conf-isa-prof)#keyring spokesrouter(conf-isa-prof)#mat identity address router(conf-i
18、sa-prof)#exi2.創(chuàng)建動(dòng)態(tài)組(集合動(dòng)態(tài)框架和加密封裝方法)router(config)#crypto dynamic-map mmm 5router(config-crypto-map)#set transform-set mysetrouter(config-crypto-map)#set isakmp-profile l2lrouter(config-crypto-map)#exit二:ipsec sa步驟:router(config)#crypto map vpn 10 ipsec-isakmp dynamic mmm三:應(yīng)用ipsec sa到接口router(config)#
19、int s0/0router(config-if)#crypto map vpnrouter(config-if)#exitspoke端(浮動(dòng)的ip地址):配置同普通lan_to_lan vpn一:isakmp sa步驟:1定義ike(internet密鑰交換),即isakmprouter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(c
20、onfig-isakmp)#group 2router(config-isakmp)#exit2配置密鑰router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封裝router(config)#crypto ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二:ipsec sa步驟:router(config)#access-list 100 permit ip 55 10.1.1.
21、0 55router(config)#crypto map vpn 1 ipsec-isakmp 1創(chuàng)建鄰居router(config-crypto-map)#set peer 2調(diào)用isakmp的加密和封裝router(config-crypto-map)#set transform-set abc3定義要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三:應(yīng)用ipsec sa到接口router(config)#int f0/0router(config
22、-if)#crypto map vpnrouter(config-if)#exit 返回目錄3 dynamic multipoint vpn (dmvpn)背景:多點(diǎn)grenext hop resolution protocol (nhrp)配置:hub端配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123 雙方必須相同ip nhrp map multicast dynamic 沒(méi)有這條,用組播的路由協(xié)議無(wú)法建立ip nhrp network-id 100 雙
23、方標(biāo)識(shí)符ip ospf network point-to-multipointtunnel source serial1/1tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10en 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des e
24、sp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120set transform-set strong interface tunnel0tunnel protection ipsec profile ciscospoke配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123ip nhrp map multicast dynamicip nhrp ma
25、p 向去請(qǐng)求gre并注冊(cè)ip nhrp map multicast 沒(méi)有這條,用組播的路由協(xié)議無(wú)法建立ip nhrp network-id 100ip nhrp nhs 配置下一跳服務(wù)器ip ospf network point-to-multipointtunnel source fastethernet0/0tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10e
26、n 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des esp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120 維護(hù)sa狀態(tài)的時(shí)間,默認(rèn)一小時(shí) set transform-set strong interface tunnel0tunnel protection i
27、psec profile cisco查看命令:show ip protocol 查看nhrpshow ip nhrp briefshow ip nhrpipsec查看:show crypto isakmp sa show crypto isakmp peers show crypto session show crypto ipsec sa 只能看到對(duì)端,不能看到后面lan額外補(bǔ)充:默認(rèn)情況下,cdp不開(kāi),在tunnel下是看不到對(duì)端的但在spoke情況下,最好在外網(wǎng)接口不開(kāi)cdp,因?yàn)殚_(kāi)了,運(yùn)行odr時(shí),會(huì)把外網(wǎng)地址發(fā)過(guò)去,然后hub就會(huì)從tunnel到該外網(wǎng)地址,可tunnel是依靠外網(wǎng)地
28、址的,成為死循環(huán)。 返回目錄4. easy vpn (ezvpn) 又名遠(yuǎn)程vpn或接入vpn此類vpn可使用傳輸模式,突破nat限制。配置:server配置aaa authentication login hyhy localaaa authorization network abc local username aaa password bbb crypto isakmp policy 1en 3deshash md5 authentication pre-sharegroup 2 crypto isakmp client configuration group ghdkey ciscod
29、omain pool ccieacl 111 crypto ipsec transform-set ttt esp-des esp-md5-hmac ip local pool ccie 0 0 access-list 111 permit ip any any有類似dynamicvpn的部分創(chuàng)建動(dòng)態(tài)組(集合動(dòng)態(tài)框架和加密封裝方法)crypto dynamic-map jiaojiao 1set transform-set ttt reverse-routeipsec sa步驟:crypto map vpn client authentication l
30、ist hyhycrypto map vpn isakmp authorization list abccrypto map vpn client configuration address respondcrypto map vpn 1 ipsec-isakmp dynamic jiaojiao interface serial0/0crypto map vpn 返回目錄5. ssl vpnezvpn在撥入時(shí),pc需要安裝client軟件,通過(guò)軟件來(lái)認(rèn)證,ssl vpn 則省略pc安裝client軟件的過(guò)程,認(rèn)證過(guò)程采用登陸網(wǎng)頁(yè)的方式來(lái)認(rèn)證,但須支持java。配置:開(kāi)aaarouter(co
31、nfig)#aaa authentication login default localrouter(config)#aaa authentication login ssl localrouter(config)#username aaa password bbb上傳軟件:router#format flash: format operation may take a while. continue? confirmformat operation will destroy all data in flash:. continue? confirmcurrent low end file s
32、ystem flash card in flash: will be formatted into dos file system flash card! continue? confirmprimary partition created.size 16 mbdrive communication & 1st sector write ok.writing monlib sectors.monlib write complete format: all system sectors written. ok.format: total sectors in formatted partitio
33、n: 32736format: total bytes in formatted partition: 16760832format: operation completed successfully.format of flash: completerouter#copy ftp: flash:address or name of remote host ? source filename ? sslclient.pkgdestination filename sslclient.pkg? accessing /sslclient.pkg.loading sslclient.pk
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 動(dòng)產(chǎn)質(zhì)押公告合同模板
- 農(nóng)機(jī)具抵押合同范例
- 出售商鋪轉(zhuǎn)讓合同模板
- 員工協(xié)議解聘合同模板
- 外聯(lián)講座合同范例
- 入圍倆家合同范例
- 失效合同范例
- 劣質(zhì)汽油銷售合同范例
- 商鋪退款合同范例
- 優(yōu)米合同模板
- 2024-2030年中國(guó)不良資產(chǎn)管理行業(yè)市場(chǎng)發(fā)展現(xiàn)狀分析及發(fā)展趨勢(shì)與投資前景預(yù)測(cè)研究報(bào)告
- 2024-2030年冬蟲(chóng)夏草行業(yè)市場(chǎng)深度調(diào)研及發(fā)展趨勢(shì)與投資戰(zhàn)略研究報(bào)告
- 2024年全新初二生物上冊(cè)期中試卷及答案(人教版)
- 走進(jìn)魚(yú)類世界智慧樹(shù)知到答案2024年中國(guó)海洋大學(xué)
- 代賣(mài)商品合同協(xié)議書(shū)
- 十字相乘法解一元二次方程練習(xí)100題及答案
- 中外合作辦學(xué)規(guī)劃方案
- 廠房屋頂光伏分布式發(fā)電項(xiàng)目建議書(shū)
- 2024年人教版初一道德與法治上冊(cè)期中考試卷(附答案)
- 2024年第九屆“鵬程杯”六年級(jí)語(yǔ)文邀請(qǐng)賽試卷(復(fù)賽)
- 國(guó)開(kāi)2024年《建筑結(jié)構(gòu)#》形考作業(yè)1-4答案
評(píng)論
0/150
提交評(píng)論